Dissertação

{en_GB=Calculating Business Impact Assessment of Cyber-Threats} {} EVALUATED

{pt=As organizações têm-se tornado progressivamente mais dependentes de tecnologias de informação e comunicação para suportar as suas operações quotidianas, o que inclui o armazenamento e acesso a informação crítica. Infelizmente, esta dependência em sistemas TIC deixa as organizações vulneráveis a ciberataques, que podem causar danos graves aos seus processos-negócio. Ao estimar o impacto causado por um determinado ciberataque numa dada organização, é possível priorizar as ações de mitigação e prevenção a serem consideradas no processo de gestão de risco. Para além disso, uma metodologia capaz de estimar o impacto pode também ser útil na previsão de Falhas em Cascata que resultam das interdependências entre diferentes organizações. Como resultado, é proposta a metodologia Business Impact Calculator (BusICalc). O BusICalc foi projetado para oferecer um método capaz de quantificar o impacto que uma ameaça causaria nos processos-negócio de uma organização. Um protótipo do BusICalc foi desenvolvido para a avaliação e integrado com o sistema de análise de risco, BIA (Business Impact Assessment). A metodologia proposta foi avaliada usando um dataset correspondente a uma Infraestrutura Crítica, e as experiências realizadas mostram a escalabilidade do BusICalc e a sua eficácia em gerar valores razoáveis para o impacto de ciber-ameaças., en=Organizations are becoming increasingly more reliant on information and communication technology to support their day-to-day operations, which includes the storage and access of critical information. Unfortunately, this dependency on ICT systems leaves organizations vulnerable to cyber-attacks, which can cause serious damage to their business-processes. By estimating the impact caused by a given cyber-attack in a particular organization, it is possible to prioritize the mitigation actions and preventative measures to be considered in the risk management procedure. Moreover, a methodology capable of estimating impact can also be useful in predicting the Cascading Failures that result from the interdependencies between different organizations. As a result, the Business Impact Calculator (BusICalc) methodology is proposed. BusICalc was designed to offer a method capable of quantifying the impact that a cyber-threat would cause, once exploited, to the organization’s business-processes. A proof-of-concept of BusICalc was developed for evaluation purposes and integrated with the risk analysis system, BIA (Business Impact Assessment). The proposed methodology was evaluated using a dataset corresponding to a Critical Infrastructure, and the conducted experiments show that BusICalc is scalable and effective in yielding reasonable values for the impact of cyber-threats.}
{pt=Ciberataque, Propagação de impacto, Modelação de processos-negócio, Efeitos em cascata, Quantificação de impacto, Segurança, en=Cyber-Attack, Impact Propagation, Business-Process Modelling, Cascading Effects, Impact Quantification, Security}

novembro 22, 2021, 11:30

Publicação

Extended Abstract

Thesis

Obra sujeita a Direitos de Autor

Orientação

Diogo Martins Alves (ist186980)

AUTOR

Diogo Martins Alves (ist186980)

António Manuel Raminhos Cordeiro Grilo

ORIENTADOR

António Manuel Raminhos Cordeiro Grilo

Departamento de Engenharia Electrotécnica e de Computadores (DEEC)

Professor Associado

Filipe Miguel Marcos Apolinário

ORIENTADOR

Filipe Miguel Marcos Apolinário

INOV

Investigador Júnior